LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@wadahiroin株式会社野村総合研究所

midPoint のアーキタイプを使用した自動プロビジョニング(Birthright)

Last updated at Posted at 2024-12-12

midPoint by OpenStandia Advent Calendar 2024 の13日目は、アーキタイプを使用した自動プロビジョニング(Birthright)を解説します。

12日目の記事では、ロールアサインによるプロビジョニングについて解説しました。しかしながらmidPointやIGAの思想では、手動操作を極力排除し、ルールベースでプロビジョニングを自動化することが基本とされています。例えば、HRシステムから取り込んだユーザー(つまり社員)の場合、社内ルールとして利用可能なシステムが決まっているはずです。そのため、それらのシステムに対して自動的にプロビジョニングを行うのが理想的です。

そこで今回の記事では、HRシステムからユーザーを取り込んだタイミングで、AddressbookのCSVに自動的にプロビジョニングするように設定を追加します。その自動化のために、midPointのアーキタイプと呼ばれる機能を使用します。

12日目までで構築した環境が前提となります。

アーキタイプとは

アーキタイプは、midPointで管理するオブジェクトタイプ(ユーザー、ロール、組織、サービスなど)をカテゴリごとにまとめて、共通する設定やポリシーを適用するためのテンプレート機能です。これにより、例えば「社員」や「派遣社員」など、特定のカテゴリをアーキタイプとして定義し、それに属するオブジェクトに対して必要な権限やルールを自動適用できます。公式ドキュメントでの説明は下記にあります。

以下はよく利用されるアーキタイプの例です。

  • ユーザー:正社員、派遣社員、ビジネスパートナー、顧客、インターンなど
  • 組織:会社、部門、部、課、チーム、プロジェクト、タスクフォースなど
  • ロール:ビジネスロール、アプリケーションロール、プロジェクトロールなど
  • サービス:アプリケーション、デバイスなど

アーキタイプは要件に合わせて自由に作成することが可能です。

また、重要なポイントとして、12日目の記事でも触れていましたが、アーキタイプはロールの一種として働きます。つまり、アーキタイプをユーザーにアサインすることで間接的にリソースをアサインし、プロビジョニングすることが可能です。

Birthright

もう1つ重要なポイントとして、アーキタイプは Birthright を定義するのにぴったりという点です。IGA界隈ではBirthrightという言葉がよく使われます。そのまま訳すと「生得権」や「生まれながら持つ権利」となりますが、IGA/IDM用に日本語で表現すると「デフォルト権限」といったほうがしっくりくるかもしれません。要は、ユーザーが源泉システムなり画面操作などでIGA/IDMシステムに登録された時から、最初から持っている権限のことです。アーキタイプを使うと以下のことが実現できるため、Birthrightの定義に使えるというわけです。

  • 源泉システムからの取り込み時に、リソース設定で自動アサインするアーキタイプの指定が可能
  • 画面操作でユーザー作成時に特定のアーキタイプを指定して作成を可能にするUIカスタマイズが可能(例:派遣社員を画面から手動登録するUIを定義すると、そのUIから作成すると自動的に派遣社員アーキタイプがユーザーにアサインされる)
  • アーキタイプはロールの一種であり、インデュースメントを設定しておくことでデフォルトの権限を設定可能

というわけで今回は、アーキタイプを新規に作成しつつ、Addressbook Usersリソースにプロビジョニングする設定を紐づけ、HRシステムからの取り込み時に自動的にユーザーにこのアーキタイプをアサインすることで、取り込みと同時にプロビジョニングを行います。

準備

最初からユーザーをmidPointに取り込みなおしたいので、以下のどちらかでユーザーを削除したクリーンな状態にします。

  • A:midPointの管理画面からユーザーを削除する
  • B:docker compose down -vで環境を破棄し(./addressbook/users.csvはヘッダ行の状態にしておく)、docker compose up -dで再構築しつつ、HR recon orgsリコンシリエーションタスク1を実行して組織だけ再取り込みしておく

Aの場合、ユーザーを削除すると該当ユーザーとプロジェクションでリンク済みのリソースからも、データが削除される点に注意してください。特に、連携先だけではなく、源泉システムであるHRシステムからも削除されてしまいますので、./hr/users.csvには別途データを入れ直す必要があります。

アーキタイプの作成

大部分は12日目の記事で実施したロールの場合と同じです。

アーキタイプの新規作成とリソースへの関連付け

画面左メニューの「アーキタイプ > 新規アーキタイプ」をクリックして、アーキタイプの新規作成画面を開きます。

image.png

今回は源泉システムであるHRシステムから取り込んで作成するユーザーには、「Employee」アーキタイプを適用する仕様とします。「基本情報」では以下の設定を行います。

  • 名前Employee

image.png

続けて「インデュースメント > リソース」メニューを開きます。image.pngをクリックして、リソースのインデュース設定のウィザードを開きます。

image.png

アプリケーション・リソースの設定画面では、「Addressbook Users」を選択して次に進みます。

image.png

リソース・オブジェクトタイプの設定画面では、「権限:アカウント、用途:default」を選択して次に進みます。

image.png

エンタイトルメントの設定画面では、特に選ぶものがないためそのまま次に進みます。

image.png

マッピングの設定画面では、特に追加のマッピングはないためそのまま「設定画面を保存」をクリックして保存します(このタイミングでアーキタイプが保存されます)。

image.png

Assignment Relationの設定

作成したアーキタイプを適用可能(アサイン可能な)なオブジェクトタイプを設定します。ユーザーにEmployeeアーキタイプを適用(アサイン)するため、UserTypeを設定する必要があります。残念ながらmidPoint 4.8では、この設定を行う専用UIは用意していませんので、作成したアーキタイプの詳細画面より、「RAWデータの編集」ボタンをクリックしてRaw更新で設定します。

以下の<assignment>〜</assignment><archetype>〜</archetype>のどこかに挿入してください。

    <assignment>
        <identifier>holderType</identifier>
        <assignmentRelation>
            <holderType>UserType</holderType>
        </assignmentRelation>
    </assignment>

以下のような感じです。これで保存します。

image.png

HR Usersリソースの設定変更

HR Usersリソースからユーザーが取り込まれた際に作成したアーキタイプをアサインするように、リソース設定を変更します。

HR Usersリソースの詳細画面を開き、「スキーマ処理」メニューから「Account」オブジェクトタイプをクリックして、オブジェクト・タイプのウィザードを開きます。

image.png

「基本属性」をクリックします。

image.png

基本情報の設定画面はそのままで次に進みます。

image.png

リソース・データの設定画面もそのままで次に進みます。

image.png

MidPointデータの設定画面で、「アーキタイプ」の設定が可能ですので設定します。「選択」ボタンをクリックします。

image.png

「オブジェクトの選択」ダイアログが表示され、設定可能なアーキタイプ一覧が表示されます。先の「Assignment Relationの設定」を実施しておくと、ここで「Employee」が見えるようになります。

image.png

Employeeをクリックすると、ダイアログが閉じてアーキタイプの選択状態になります。これで「設定を保存」ボタンをクリックして保存します。

image.png

HR import orgs タスクの実行(必要な場合)

ユーザーのインポート時に所属組織が既にmidPointに取り込まれている前提で現状は設定を行っているため、もし組織がまだ未取り込みの場合は、先にHR recon orgsリコンシリエーションタスク1を実行して組織をインポートしておきます。

タスクの実行完了後、組織が存在することを確認しておきます。

image.png

HR import users タスクの実行

HR import usersインポートタスクを実行します。設定がうまくされていれば、HRシステムのCSVファイルからユーザーがmidPointに取り込まれます。

image.png

と同時に、AddressbookのCSVファイルを開くと、取り込んだユーザーがプロビジョニングされています。

./addressbook/users.csv
userId,familyName,givenName,email,tel,orgId,orgName
1001,山田,太郎,taro.yamada@example.com,,005,営業第一部
1002,佐藤,花子,hanako.sato@example.com,,006,営業第二部
1003,鈴木,次郎,jiro.suzuki@example.com,,007,総務部
1004,高橋,美咲,misaki.takahashi@example.com,,008,IT開発部
1005,田中,健一,kenichi.tanaka@example.com,,009,ITインフラ部
1006,伊藤,陽菜,hina.ito@example.com,,005,営業第一部
1007,渡辺,,sho.watanabe@example.com,,006,営業第二部
1008,小林,さくら,sakura.kobayashi@example.com,,007,総務部
1009,中村,,yu.nakamura@example.com,,008,IT開発部
1010,山本,一郎,ichiro.yamamoto@example.com,,009,ITインフラ部

監査ログでも確認しておきます。このように、オブジェクト追加(ユーザーの作成)とリソースの追加(CSVへのユーザーの追加)が行われていることが分かります。

image.png

まとめ

13日目の記事では、アーキタイプの作成とその自動適用(アサイン)方法について解説しました。また、アーキタイプはロールの一種でもあり、プロビジョニング用の設定(リソースをインデュースメントで設定)を行うことで、ユーザーのインポートと同時に連携先にプロビジョニングできることを紹介しました。これらの仕組みを利用することで、IGAでよく言われるBirthrightと呼ばれる、いわゆるユーザーのデフォルト権限を表現することが可能です。

アーキタイプはmidPointでIGAをやっていく際には非常に役に立つ機能ですので、是非使い方をマスターして活用していただければと思います。

次回は、このアーキタイプとも関連する話で、オブジェクトテンプレートというmidPointの機能について解説したいと思います。

  1. 8日目の記事で作成したタスクです。特に言及していませんでしたが、5日目の記事で紹介した「Post-Initial Import化」がされている想定です。 2

midPoint by OpenStandiaAdvent Calendar 2024

Day 13
2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?